《中石油内控指引讲解指引.ppt》由会员分享,可在线阅读,更多相关《中石油内控指引讲解指引.ppt(125页珍藏版)》请在三一办公上搜索。
1、1,内部控制体系建设初步指引,2,指引架构,建设内容,方法和工具及附录,总体情况,总则,内控体系建设,监督,内部环境,目标制定,事件识别,风险评估,风险反应,控制活动,信息与沟通,方法和工具,附录,3,指引内容,总体情况内控体系建设内容方法和工具及附录,4,总体情况,第一章:总则 第二章:内控体系建设,5,第一章:总 则,编制目的编制依据编制原则指引的主要内容,6,编制目的、依据、原则,编制的目的 为了加强对内控体系建设的指导,向内控体系建设提供技术和理论支持,确保内控体系建设工作的系统化、规范化和有序开展。编制的依据国务院国资委中央企业全面风险管理指引;集团公司内部控制体系建设实施方案;CO
2、SO企业风险管理框架;COSO内部控制框架;国家其他法律法规。编制的原则 本着有利于建立内控体系建设的总体概念,有利于明确建设重点,有利于指导具体操作的原则编制了本指引。,7,指引的主要内容,指引共包括三大部分,十二章的具体内容:总体情况部分包括两章,即总则和内控体系建设;建设内容按照COSO八要素分为八章,各章均包括概念及要素、重点关注的内容、主要工作、基本方法和工具;方法和工具及附录部分包括两章,即方法和工具、附录。,8,总体情况,第一章:总则 第二章:内控体系建设,9,第二章:内控体系建设,指导思想建设范围总目标建设内容机构及职责分工工作步骤,10,指导思想,按照国务院国资委的要求,瞄准
3、国际大公司的内控建设水平,立足改革发展全局,坚持“统筹规划、整体设计”的原则,以源头治理和过程控制为核心,以防范风险和提高效率为重点,对现有管理制度、职责分工和业务流程进行全面梳理,力求促进各项管理工作实现程序化、规范化、制度化、标准化,建立一套设计科学、简洁适用、运行有效的内部控制体系,使集团公司所有企事业单位和所有经营管理环节都处于受控状态,有效防范风险,增强抵御风险的能力,实现经济资源的高效配置,为实现集团公司战略发展目标提供合理保障。,11,范围、总目标,建设范围包括:集团公司总部、直属企事业单位、全资公司、绝对控股公司等应按照本指引和各项工作要求,具体完成内部控制体系建设;相对控股公
4、司和参股公司可以参照执行本指引。总目标是:用两年左右的时间,基本建立和谐的内部环境、规范高效的业务流程、权责明晰的治理结构、简洁适用的风险管理措施,并以此为基础在“十一五”末初步建立内部控制体系,为“十二五”发展奠定基础。,12,内部环境目标制定事件识别风险评估风险反应控制活动信息与沟通监督,建设内容体现和满足了“收集风险管理初始信息、进行风险评估、制定风险管理策略、提出和实施风险管理解决方案、风险管理的监督与改进”的风险管理基本流程思路。,建设内容,13,机构及职责分工、工作步骤,机构及职责分工:总部和各单位都要建立由主要领导参加的组织领导机构,并抽调综合素质高、业务全面和具有较强协调能力的
5、人员组成具体工作机构,负责本单位内控体系建设工作。工作步骤:准备阶段(2006年年底前)实施阶段(2007年1月2008年12月)系统化测试和完善阶段(2009年1月12月)运行维护阶段(2010年开始),14,指引内容,总体情况内控体系建设内容方法和工具及附录,15,内控体系建设内容,第三章:内部环境第四章:目标制定第五章:事件识别第六章:风险评估第七章:风险反应第八章:控制活动第九章:信息与沟通第十章:监督,16,第三章:内部环境,概念及要素重点关注的内容主要工作基本方法和工具,17,概念及要素,内部环境风险管理理念员工职业道德组织结构员工的胜任能力权限和责任分配人力资源政策决策机构与监督
6、机构反舞弊,18,概念及要素,内部环境:内部环境是其他要素的基础,包括企业风险管理理念、员工职业道德、组织结构、员工的胜任能力、权限和职责分配、人力资源政策、决策机构与监督机构等要素。风险管理理念:风险管理理念是指企业经营活动中以风险为特征的信念和态度,它反映企业的价值观,影响企业文化和经营风格,也影响企业风险管理的其他要素,具体包括识别风险的方式、可接受风险的种类以及如何进行风险管理等。,19,概念及要素,员工职业道德:员工职业道德体现企业的价值判断和管理层经营风格等,具体包括道德准则、行为准则和强化这些准则的方式。组织结构:组织结构是指企业为实现风险管理目标,对各项风险管理活动进行规划、执
7、行、控制和监督的构架。组织结构是集权还是分权,取决于企业的规模及其企业活动的性质。,20,概念及要素,员工胜任能力:胜任能力是指管理层在考虑企业的战略、目标及其实施方式等方面后,对工作岗位明确规定胜任能力要求,并将要求转变为员工完成工作任务所需要的知识和技能。权限和责任分配:权限和责任分配是指建立上下级报告制度、授权协议以及合理划分权限和职责的过程。为保证授权的充分性和有效性,企业必须对相关人员的角色与责任给予明确。人力资源政策:人力资源政策引导员工达到企业期望的职业道德水平和胜任能力,包括员工聘用、定岗、培训、评估、就业咨询、晋升、薪酬等活动。,21,概念及要素,决策机构与监督机构:决策机构
8、在公司制企业是董事会,其他企业决策机构是高级管理层办公会等;监督机构包括监事会、审计委员会、专职监督部门等行使监督职能的机构;决策机构与监督机构相对于管理层的独立性、其成员的经验和道德境界、参与和监督企业活动的范围及行为的适当性都对内部环境发挥作用。反舞弊:舞弊是指以故意的行为获得不当或非法利益;反舞弊就是采取适当措施防止和控制舞弊的发生。,22,重点关注的内容,风险管理组织体系风险管理文化反舞弊重点,23,重点关注的内容,风险管理组织体系:风险管理组织体系包括明确组织结构、部门权限和职责分配、员工胜任能力以及人力资源政策。反舞弊重点:反舞弊重点关注报告的舞弊、资产盗用、不当目的的支出或负债、
9、以欺诈方式取得资产和收入、以欺诈方式避免成本或费用、决策机构或管理层的不当行为等。,24,重点关注的内容,风险管理文化风险管理文化包括企业风险管理理念的确定、员工职业道德的制定和宣贯、举报机制等;风险管理做的较好的企业,具有共同的特征:领导者有极强的风险意识,并极力将这种意识灌输给企业内的所有成员,即注重风险管理文化的培育;全面风险管理不是某个人或某个部门的单独的事情,而是涉及企业各个层面、各个业务领域、所有员工的事情,只有将风险意识和理念融入企业文化中,把风险意识转化为全体员工的共同认识和自觉行动,才能确保风险管理目标的实现;企业的所有生产经营行为、所有的控制制度,最终都由具体的人来操作和完
10、成。如果员工没有正确的风险管理意识,再好的体系和机制,也难免会出现重大风险事件。,25,主要工作,评估内部环境 建立完善风险管理组织体系建立风险管理文化建立反舞弊与控制,26,主要工作,评估内部环境:设计访谈提纲和调查问卷,了解企业治理结构、各部门业务和权责划分、各部门对企业风险管理和内部控制的看法、集团公司和各企业的业务流程;访谈各级管理人员,全面掌握内部环境现状;分析评价企业内部环境现状。建立完善风险管理组织体系:按照企业规模、业务复杂程度等标准,设计企业的风险管理组织结构模型方案;按照结构模型设计企业风险管理组织体系;制定人力资源政策;确定业绩衡量标准。,27,主要工作,建立风险管理文化
11、:将风险管理文化建设融入企业文化建设全过程;在企业各个层面营造风险管理文化氛围;加强员工法律素质和职业道德教育;建立举报机制;宣传企业风险管理文化,牢固树立所有员工的风险意识。建立反舞弊与控制:建立必要的反舞弊程序和控制;建立舞弊风险数据库;宣传和培训反舞弊控制;加强监督,保证实施有效,并不断修订完善反舞弊措施。,28,基本方法和工具,内部环境建设的主要方法有:访谈方法、标杆法等。内部环境建设的主要工具有:访谈提纲、调查问卷、内部环境现状评价表、权限指引、岗位职责描述等。,29,标杆法举例,标杆分析三个阶段,选定标杆学习伙伴阶段,改进建议阶段,分析阶段,确定行业的一流企业和做法,搜集其最佳实践
12、典范,结合集团公司给出的要素,确定自己内部环境要素。,将收集的资料进行汇总分析,同时参考目前本企业内部环境现状进行比较。,针对分析阶段的比较结果,对本企业内部环境进行广泛的讨论,最终给出合理优化建议。,30,标杆法实例,样例,31,内控体系建设内容,第三章:内部环境第四章:目标制定第五章:事件识别第六章:风险评估第七章:风险反应第八章:控制活动第九章:信息与沟通第十章:监督,32,概念及要素,目标制定风险偏好风险承受度,33,概念及要素,目标制定:目标制定是指管理层围绕企业的使命,制定战略目标,阐述企业战略,并为企业确立经营、报告和合规性目标。目标制定是事件识别、风险评估和风险反应的前提。风险
13、偏好:风险偏好是指企业希望承受的风险范围,即企业决策层和管理层在追求实现其价值的过程中愿意接受什么风险。,34,概念及要素,风险承受度:风险承受度指在企业实现特定目标过程中对目标相关变量的接受程度,与风险容量相一致。风险承受度是风险容量的边界和企业采取行动的指标。比如一个企业能承担的投资损失额为一千万元,该企业投资某个项目时候,企业准备承担最大的损失额为九十万元。经分析若该项目失败则损失为一百万,企业经过研究决定放弃这个项目,因为该企业在投资上的风险容量为一千万,在这个项目上的风险承受度是九十万,所以企业放弃了这个项目。,35,重点关注的内容,战略目标经营目标报告目标合规性目标,36,重点关注
14、的内容,战略目标,经营目标,报告目标,合规性目标,战略目标是管理层根据企业使命,阐述企业战略,并指引企业确立经营、报告和合规性目标的最高层次目标。,37,重点关注的内容,经营目标:经营目标反映企业经营的效率和效果。经营目标围绕企业战略目标,反映市场地的实际和需求情况,可以用业绩和利润性目标以及防止企业亏损的衡量指标来描述。报告目标:报告目标是根据企业经营的业务制定的,主要指编制可靠的报告,包括内部和外部报告,涉及与目标相适应的准确完整的全部企业信息。coso企业风险管理框架把原来内控框架中的财务报告目标扩展为报告目标。合规性目标:这类目标涉及企业必须遵守的法律法规,主要取决于外部因素。企业必须
15、依照适用的法律法规开展其业务活动。,38,主要工作,确定战略目标制定经营目标、报告目标和合规性目标建立业务流程目录制定相关子目标分解目标,制定考核标准传递相关信息,39,主要工作,确定战略目标:按照章程规定的使命,本着从实际出发,务求实效的原则,确定战略目标。战略目标与企业的使命相一致,同时要考虑企业的风险容量和风险承受度。制定经营目标、报告目标和合规性目标:根据确定的战略目标,制定企业的经营目标、报告目标、合规性目标等相关目标。相关目标要支持确定的战略目标并与其相一致。,40,主要工作,建立业务流程目录:按照确定的目标,分析业务活动,建立业务流程目录。在集团公司范围内统一建立一、二、三级流程
16、目录,各单位结合集团公司的一、二、三级业务流程目录,自行制定四级及以下业务流程目录,末级业务流程不超过六级,四级业务流程目录在集团公司备案。内部控制一级业务流程目录有21个:规划计划、建设施工、物资采购、服务采购、生产管理、质量管理、产品销售、存货管理、股权管理、人力资源与绩效考核、信息管理、科研开发、健康安全环保、财务资产、内部审计、纪检监察监督、合同管理、法律事务、企业文化、公共关系、权证管理。,41,主要工作,制定相关子目标:根据相关目标,各职能部门、各企业制定相关的子目标。分解目标,制定考核标准:结合业务流程的梳理,将各类目标分解,并明确职责,制定业绩考核标准。传递相关信息:将上述信息
17、传递到企业所有层面的员工,保证员工理解计划要实现的目标以及业绩考核标准和方法。,42,基本方法和工具,目标制定的主要方法有:头脑风暴法、访谈法、问卷调查法、参考与征求意见法等。目标制定的主要工具有:流程目录等。,43,内控体系建设内容,第三章:内部环境第四章:目标制定第五章:事件识别第六章:风险评估第七章:风险反应第八章:控制活动第九章:信息与沟通第十章:监督,44,概念及要素,事件及事件识别风险机遇,45,概念及要素,事件及事件识别:事件是源自外部或内部、影响企业目标实现的事情。按事件带来的影响不同,可以划分为风险和机遇。事件识别是明确可能影响企业目标实现的事件,并确定风险和机遇的过程。风险
18、:风险是未来的不确定性对实现企业目标可能性产生的负面影响,也称为纯粹风险。按照不同的标准,风险分类也多种多样。机遇:机遇是未来的不确定性对实现企业目标和支持企业发展产生的积极影响,也称为机会风险。,46,重点关注的内容,事件的范围事件和目标的联系识别事件需要考虑的内外部因素事件的相互依存事件区分和风险分类持续性事件识别,47,重点关注的内容,事件的范围:与企业所处的内外部环境、行业领域、经营业务范畴以及对实现企业目标可能产生影响的相关事件都要考虑。事件和目标的联系:为保证目标的实现,每个企业、职能部门、甚至个人都承担与其职责相应的目标。目标的承担者首先在与自己目标相关的范围内明确事件,然后将这
19、些事件进行汇总,并按照目标对事件分类。,48,重点关注的内容,识别事件需要考虑的内外部因素:外部因素主要包括经济因素、自然环境因素、政治因素、社会因素、技术性因素等。内部因素主要包括内部环境因素、基础设施因素、员工因素、流程因素、技术因素等。事件的相互依存:事件通常不是孤立出现和存在的。一个事件的发生可以引发另一个相关事件的发生,数个事件也可能同时发生。在事件识别过程中,应考虑事件及其相关事件。,49,重点关注的内容,事件区分和风险分类:在识别出事件的基础上,应区分事件属于风险或是机遇。对于带来风险的事件,按照风险和企业目标的相关性进行分类,可以分为战略风险、财务风险、市场风险、运营风险、法律
20、风险等。持续性事件识别:企业对风险和机遇的识别应保持连续性。企业在发展过程中会不断的修正和调整目标,因此也需要不断评估风险与企业目标的匹配和适合能力,以保证风险适合企业目标。,50,主要工作,收集信息明确关联事件对事件进行分类持续进行事件识别,51,主要工作,收集信息:企业广泛、持续地收集与本企业风险和风险管理相关的内外部初始信息,包括历史数据和未来预测。各相关部门和业务单位从这些相关信息中识别出本部门的事件。收集信息的外部渠道:国家、行业宏观政策与信息的发布平台和网络;新闻、媒体报道几及专业机构的出版物;商业伙伴(客户、供应商)提供的战略信息;私人商业与社会网络等。收集信息的内部渠道:内部会
21、议纪要及战略分析报告;以往战略决策的成功案例及重大偏差;企业自身的战略规划、计划等决策信息;企业战略规划方面的内部控制机制等。,52,主要工作,明确关联事件:事件通常不是孤立出现的,理解事件间相互联系的方式,以便明确关联事件。对事件进行分类:对事件按照影响目标的类型、影响事件的内外部因素按照是风险还是机遇进行分类,形成事件库。持续进行事件识别:不间断进行事件识别,如事件有变更需及时调整备案,同时维护更新事件库。,53,基本方法和工具,事件识别的主要方法有:头脑风暴法、访谈法、问卷调查法、流程及流程分析法、征求意见法、事件重要指标法等。事件识别的主要工具有:事件库等。,54,内控体系建设内容,第
22、三章:内部环境第四章:目标制定第五章:事件识别第六章:风险评估第七章:风险反应第八章:控制活动第九章:信息与沟通第十章:监督,55,概念及要素,风险评估固有风险剩余风险风险识别风险分析风险评价,56,概念及要素,风险评估是指管理层采用定量或定性的方法,考虑企业潜在事件发生的可能性及对实现企业目标的影响程度。风险评估的步骤如下:,57,概念及要素,固有风险:管理层不采取任何措施去改变风险的可能性或影响的情况下企业所面对的风险。剩余风险:管理层在对某风险采取措施后仍然存在的风险。,58,概念及要素,风险识别是指查找企业各业务单元、各项重要经营活动极其重要业务流程中有无风险,有哪些风险。,59,概念
23、及要素,风险分析是对识别出的风险及其特征进行明确的定义描述,分析和描述风险发生可能性的高低、风险发生的条件。,风险清单及风险发生可能性(举例),60,极低 低 中等 高 极高 影响程度,可能性,承担A区域中的各项风险且不再增加控制措施严格控制B区域中的各项风险且专门补充制定各项控制措施确保规避和减少C区域中的各项风险且优先安排实施各项防范措施,2,8,5,3,4,1,7,6,9,风险坐标图(以固有风险绘制),概念及要素,风险评价是评估风险对企业实现目标的影响程度、风险的价值等。,61,重点关注的内容,固有风险与剩余风险风险和目标的适合度风险识别和确认的即时性风险组合风险评估机制,62,重点关注
24、的内容,固有风险与剩余风险:风险评估首先应用于固有风险,在制定风险反应方案后,管理层应考虑剩余风险。风险和目标的适合度:企业会在发展过程中不断的修正和调整目标,因此企业要不断评估风险和目标的匹配和适合能力。风险识别和确认的及时性:企业内外部环境是不断变化的,在某种特定环境下有效的内部控制在另一种环境下未必有效,因此要及时随环境的变化评估和确认风险。,63,重点关注的内容,风险组合:从统筹角度来考虑风险,管理层确定企业各业务单元的剩余风险是否与企业的总体风险容量一致,存在于不同业务单元的风险可能在该业务单元的风险承受度范围内,但是汇总时,风险则有可能会超出企业整体的风险容量范围;另外一些风险间也
25、存在自然对冲,相互抵消的关系。风险评估机制:风险评估机制要求建立相关的制度和规范,以便对风险管理的机构及职责、风险管理的原则及要素、风险评估的程序及方法、风险识别和确认的及时性等进行明确的规定和落实。,64,主要工作,制定风险评估标准选择风险评估办法确定风险等级明确风险间的关系建立风险数据库,65,主要工作,制定风险评估标准:按照自身特性,分析企业规模、业务复杂性、信息处理方法、适用的法律法规等,结合管理层的判断,制定风险评估标准。选择风险评估办法:根据业务活动、业务流程描述和风险评估标准,选择适合本企业或本部门的风险评估方法。确定风险等级:具体识别和确认业务流程中的风险,分析风险的重要性程度
26、、评估风险发生的可能性或频率,确定其风险等级。,66,主要工作,明确风险间的关系:根据对风险的评估和分析,确认相关风险间是否相关、相关程度和相关方向,明确风险间的关系,以便从风险策略上对风险进行统一集中管理。各风险之间的自然对冲风险事件发生的正负相关性等组合效应建立风险数据库:详细描述风险表征,建立风险数据库。附录1-14附录2-7.doc,67,基本方法和工具,风险评估方法主要有:头脑风暴法、访谈法、问卷调查法、参考与征求意见法、概率与非概率模型法、风险坐标图等。风险评估的工具主要有:风险评估问卷、风险数据库等。,68,风险评估问卷,问卷内容设计分为三部分风险,环境风险:可能受到哪些来自外部
27、的,对业务产生重大影响的风险;流程风险:业务流程中,由哪些可能影响企业执行业务能力的风险;决策信息风险:在流程、财务、战略等方面的决策,可能影响到决策的正确性的风险;对这三方面从风险“影响的严重程度”和“发生的可能性”进行评估。,69,风险评估问卷样例,70,内控体系建设内容,第三章:内部环境第四章:目标制定第五章:事件识别第六章:风险评估第七章:风险反应第八章:控制活动第九章:信息与沟通第十章:监督,71,概念及要素,风险反应风险管理策略风险预警机制风险管理解决方案,72,概念及要素,风险反应:管理层按照风险管理优先顺序和风险管理策略,结合风险预警机制,对各类风险或每一项重大风险制定、评估和
28、选择风险管理解决方案,确定如何应对风险。风险管理的优选顺序可以考虑以下几个因素:风险管理的难度风险事件发生的可能性和影响合规的需要对企业技术准备、人力、资金的需求利益相关人的要求,73,概念及要素,风险管理策略:风险管理策略指企业根据自身条件和内外部环境,围绕企业发展战略和制定的目标,确定风险偏好、风险承受度、风险管理有效性标准,选择适合的风险管理工具,并确定风险管理所需资源的配置原则。风险偏好和风险承受度“承担什么风险?承担多少?”全面风险管理的有效性标准“怎样衡量我们的风险管理工作成效?”风险管理的工具选择“怎样管理重大风险?”全面风险管理的资源配置“如何安排人力、财力、物资、外部资源等风
29、险管理资源?”,74,概念及要素,风险预警机制:风险预警机制是指企业从谨慎角度出发,对重大风险进行持续不断的监测,及时发布预警信息,根据企业应对风险的资源状况,制定应急预案,并根据情况变化不断调整控制措施。风险管理解决方案:风险管理解决方案一般应包括风险解决的具体目标,所需的组织领导,所涉及的业务管理流程,所需的条件、手段等资源,风险事件发生前、中、后所采取的具体应对措施以及风险管理工具。风险管理解决方案一般可分为四类:规避风险、减少风险、分担风险、接受风险。,75,重点关注的内容,风险管理解决方案的标准,76,重点关注的内容,风险管理的有效性标准是指企业衡量企业风险管理是否有效的标准。风险管
30、理有效性标准的作用是帮助企业了解:企业现在的风险是否在风险承受度范围之内,即风险是否优化企业风险状况的变化是否所要求的,即风险的变化是否优化因此,量化的企业风险管理有效性标准可以基于企业风险承受度的度量 选择风险管理解决方案时,着重考虑以下因素:风险容量和风险承受度。在评估风险管理解决方案时,要考虑采取方案后的剩余风险是否在企业的风险容量和风险承受度之内。成本和收益。对实施风险管理解决方案进行成本和效益测算。方案的机遇。考虑风险方案中的机遇,分析是否有机遇价值超过风险的情况。,77,主要工作,制定风险管理解决方案 评估风险管理解决方案 选择风险管理解决方案,78,主要工作,制定风险管理解决方案
31、:根据风险管理解决方案的标准,结合企业风险偏好等实际情况,对自身面临的风险制定具体的风险管理解决方案。评估风险管理解决方案:评估方案的效应评估方案成本和收益评估外包风险管理方案的可行性评估方案的内容选择风险管理解决方案:在对风险管理解决方案进行评估后,管理层选择能使风险可能性和影响维持在风险承受度范围内的一种风险管理解决方案或者组合管理解决方案。,79,基本方法,风险反应的方法主要有:关键风险指标管理、压力测试等,80,内控体系建设内容,第三章:内部环境第四章:目标制定第五章:事件识别第六章:风险评估第七章:风险反应第八章:控制活动第九章:信息与沟通第十章:监督,81,概念及要素,控制活动关键
32、控制政策程序控制活动分类,82,概念及要素,控制活动:控制活动是指为确保风险管理解决方案得以贯彻执行的政策和程序。控制活动贯穿于企业的所有职能部门、每项生产经营活动和所有员工中。它包括一系列不同的活动,如批准、授权、验证、核对、经营业绩评价、资产保全措施和职责分工等。关键控制:关键控制指在相关流程中影响力和控制力相对较强的一项或多项控制,其控制作用是必不可少和不可替代的。如果缺少该项控制,将在很大程度上直接导致重要风险的产生。,83,概念及要素,政策:政策指确定应该做什么,包括成文的政策和不成文的政策。程序:程序指实施政策。所有的政策都要得到全面、认真、始终如一的贯彻执行,在执行程序过程中要关
33、注政策存在的条件。控制活动分类:控制活动按照不同的标准可以分成若干类,一般说来,我们可以对其进行如下分类:按目标可以分为战略、经营、报告、合规性。按内容可以分为企业层面控制、业务活动层面控制和信息系统总体控制。按作用可以分为预防性控制和发现性控制。按控制手段可以分为人工控制和自动控制。,84,重点关注的内容,建立适当的政策和程序执行情况,85,重点关注的内容,建立适当的政策和程序:针对企业的每一项业务活动都要有必要和恰当的政策和程序。政策和程序同风险管理解决方案要匹配。执行情况:着重关注风险管理解决方案中规定的控制措施是否得到了恰当的执行。,86,梳理现有制度和业务流程建立健全相关制度编制风险
34、控制管理文件确认关键流程、控制点和控制措施优化业务流程动态管理控制活动,控制活动建设要求领导带头、全员参与、激励配套、注重培训、持续改进。,主要工作,87,主要工作,梳理现有制度和业务流程:梳理现有制度和所有业务流程,制定风险控制文档和程序文件的编制和记录规范。建立健全相关制度:企业根据自身的实际情况建立和健全内控岗位授权制度、内控报告制度、内控批准制度、内控责任制度、内控审计检查制度、内控考核评价制度、重大风险预警制度、重要岗位权利制衡制度等。,88,主要工作,编制风险控制管理文件:针对影响企业目标实现的重要风险,结合企业描述的业务流程,编制风险控制管理文件,包括风险控制流程图、风险控制文档
35、和控制程序文件等。确认关键流程、控制点和控制措施:按照风险控制管理文件、业务流程描述,标注风险点和关键控制点,确认关键控制流程、关键控制点和控制措施。,89,主要工作,优化业务流程:对现有控制和业务流程进行分析,查找差距和不足,结合风险管理解决方案,制定、补充和完善相关制度和实施证据,优化业务流程。动态管理控制活动:定期组织相关部门进行研究,新增或变动的风险是否新增了相关控制活动;已有的控制活动是否有变化;是否需要重新确定关键控制。根据控制活动的变化,对相关文件进行更新。,90,基本方法和工具,控制活动的主要方法有:流程图、文字描述等。控制活动的主要工具有:利用软件描述流程图、风险控制文档、关
36、键控制文档、控制程序文件等。,91,风险控制文档模板,92,风险描述,将所识别的风险在该栏目具体描述。参考风险数据库的内容,根据本单位的实际情况进行风险识别和描述。若对风险数据库进行删减、增加、修改应加以解释。对于增加的风险,有关风险描述的文字要清晰地反映影响目标实现的因素。,93,控制目标的类型,完整性控制(C):指建立完整规范的控制体系和标准;生产经营和财务信息数据的采集、记录和处理完整,无遗漏和重复。如租金未及时确认,或重复确认当期费用就会影响完整性;准确性控制(A):指所有信息和数据计算、归集和记录操作等准确。如账务处理的金额错误会影响准确性;有效性控制(V):指所有的生产经营活动都经
37、过适当的授权和批准,都是真实发生的,并按规定保存有效的原始文件。如付款未经审批,就会影响有效性;接触性控制(R):指信息处理和实物资产的保护和安全控制。如缺少对企业投资实施计划的保密,让不相关的人员知悉;或会计处理现金实物都会影响接触性。,94,控制目标具体描述,根据所选的控制目标的类型,具体描述针对风险的控制目标。,95,现有控制措施,在该栏目描述:哪个(岗位)负责执行控制 控制的具体内容,96,控制类型(预防性/发现性),“预防性”控制:在风险发生之前,为避免风险采取的措施。例如:制定政策、准备备查清单、合同在执行前需要审批,等为预防性控制;“发现性”控制:事后做的、为及时发现问题而采取的
38、措施是发现性控制。例如:核对财务系统和资产系统的余额是否一致,审核记账凭证是否准确、编制银行存款余额调节表等。,97,控制实施证据,控制实施的证据 是指在实施现有控制时所使用的报告,表单,签字等;如果在实施现有控制时没有使用相应的报告,表单,签字等,则应填“无”;在实施现有控制时使用了相应的报告,表单,但在文件和规章制度中没有相应的规定,应作为文件不完善在“现有控制在规章制度方面存在的问题”进行描述。,98,内控体系建设内容,第三章:内部环境第四章:目标制定第五章:事件识别第六章:风险评估第七章:风险反应第八章:控制活动第九章:信息与沟通第十章:监督,99,概念及要素,信息沟通信息系统总体控制
39、信息系统应用控制信息披露,100,概念及要素,信息:信息指来源于企业内部或外部,与制定战略和目标、识别事件、分析风险、确定风险反应方案以及实施企业风险管理和其它管理活动相关的信息,包括从外部获取的行业、经济、监管信息以及内部产生的经营管理、财务等方面的信息。沟通:沟通指信息在企业内部各层次、各部门以及在企业与需求方、供应商、监管者和股东等外部环境之间的传递。信息披露:信息披露是指企业向出资人、相关管理部门、利益相关者提供及时、有序、一致、准确、完整、可靠和可信的企业信息的过程。,101,概念及要素,信息系统总体控制:信息系统总体控制是适用于企业在信息技术的开发、实施、运行、维护及管理等方面的控
40、制,它可以更好地保护企业的信息资产,提高信息系统对业务的支撑力度,增强企业信息系统的运行效力。信息系统应用控制:信息系统应用控制包括应用软件中的电算化步骤以及用以控制不同种类交易处理的相关手工操作程序。信息系统总体控制和应用控制是相互关联的。信息系统总体控制是应用系统控制的基础,应用系统控制依赖于信息系统总体控制,信息系统总体控制和应用控制共同保证信息处理的完整性和准确性。,102,第九章:信息与沟通,概念及要素重点关注的内容主要工作基本方法和工具,103,重点关注的内容,内外部沟通的有效性信息系统总体控制信息系统应用控制,104,重点关注的内容,内外部沟通的有效性:向内部员工传达企业目标、风
41、险管理的重要性、风险容量和承受度以及员工的职责;向外部相关方传达企业的道德价值观、行为准则以及风险容量和承受度等;向外部相关方了解客户需要和偏好的变化等。,105,重点关注的内容,信息系统总体控制:加强信息系统控制环境和项目建设过程的管理;加强对逻辑安全、物理安全和网络安全的建设;加强信息系统日常运作、变更和对最终用户操作的管理。信息系统应用控制:所有业务都经过处理,但不允许数据的重复录入和处理;所有的数据是正确和合理的;例外情况能被及时发现和处理;交易被适当授权;系统不接受虚假交易;未经授权,不能对数据进行修改;重要数据可以进行保密;物理设备的安全得到保证等。,106,主要工作,确定信息与沟
42、通建设的总目标和规划明确沟通方式和渠道制定信息披露制度和流程建立信息系统总体控制建立信息系统应用控制,107,主要工作,确定信息与沟通建设的总目标和规划:明确企业内部需要进行沟通及传递的信息,管理层负责根据企业整体发展战略,组织确定企业信息技术发展总体目标和战略规划。明确沟通方式和渠道:建立并完善信息管理制度,明确企业应建立的沟通方式及沟通渠道。制定信息披露制度和流程:明确信息披露的部门、信息披露管理流程和制度。,108,主要工作,建立信息系统总体控制:企业重点对信息系统控制环境、信息安全、信息系统项目建设管理、信息系统变更管理、信息系统日常运作、最终用户操作等进行建设。建立信息系统应用控制:
43、企业重点对应用系统的划分、应用系统的全新管理、应用系统的自动控制等进行建设。,109,基本方法和工具,梳理信息与沟通现状的方法主要有:相关人员集中后统一分析描述;将需要了解的内容绘制成表格或文本,分发给相关人员填写等。信息与沟通使用的工具主要有:各部门信息流汇总表,电子表格管理工具,包括电子表格汇总表、电子表格分类模板、电子表格与控制实施证据对应分析表;信息系统总体控制矩阵;财务关联信息系统汇总表;第二等级应用系统手工控制系统清单、应用手工控制措施;应用系统用户权限管理表。,110,内控体系建设内容,第三章:内部环境第四章:目标制定第五章:事件识别第六章:风险评估第七章:风险反应第八章:控制活
44、动第九章:信息与沟通第十章:监督,111,概念及要素,持续监督独立评估缺陷报告,112,概念及要素,持续监督:持续监督是在企业日常经营过程中进行的,包括日常的管理活动,以及检查各项管理活动执行质量的行为。独立评估:独立评估是独立于管理活动之外而采取的定期评估行为,独立评估的范围和频率,主要取决于风险评估和持续监督程序的有效性。缺陷报告:缺陷报告是将企业全面风险管理中的缺陷自下而上报告的行为。当某项活动的设计或运行不能使管理层或员工在正常行使其职责过程中及时防止或发现错报时,表明存在缺陷。缺陷包括设计缺陷和运行缺陷。,113,重点关注的内容,持续监督风险管理的有效性独立评估的有效性缺陷报告,11
45、4,重点关注的内容,持续监督风险管理的有效性:持续监督程序贯穿于企业日常经营活动中,主要表现为:审核经营报告、保留风险管理措施执行的证据、与外部沟通从而验证内部信息、定期核对财务系统数据与实物资产、内外部审计师为加强风险管理提出改进措施、在相关会议上对风险管理有效性提供反馈、定期询问员工是否理解并执行了企业的职业道德规范和风险管理活动等。,115,重点关注的内容,独立评估的有效性:企业要保证评估的范围、覆盖的深度和频率是足够的;评估人员应具备必要的技能;评估过程由具有必要职权的高级管理人员主持;评估小组与被评估单位共同安排评估程序;评估方法的选择应适当。缺陷报告:将发现的缺陷向适当的机构或者人
46、员报告,以促进及时调查和必要的纠正措施得到实施。,116,主要工作,建立风险管理责任体系制定监督评估办法和标准编制监督评估方案培训人员、开展监督评估跟踪监督结果,117,主要工作,建立风险管理责任体系:建立风险管理责任体系和相应的管理制度,明确风险管理的各级责任主体。制定监督评估办法和标准:制定监督评估的办法,确定评估标准,明确监督评估范围、内容、覆盖的深度和频率、方法、工具。编制监督评估方案:编制监督评估工作方案,明确人员及职责分工、具体实施步骤和模板。,118,主要工作,培训人员、开展监督评估:对参与监督评估人员进行必要的技能和业务培训。按照既定的办法和标准,结合体系建设的实际需要,开展监
47、督评估工作。跟踪监督结果:对监督评估中发现的问题进行跟进检查,以确保问题得到纠正和改进。,119,基本方法和工具,监督的主要方法有:询问、观察、检查、再执行等;对流程交易层面的检查,采用跟单作业检查其设计有效性;采用关键控制测试检查其执行有效性;对信息系统总体控制的检查等。监督的主要工具有:测试模板、缺陷认定模板等。,120,指引内容,总体情况内控体系建设内容方法和工具及附录,121,方法和工具及附录,第十一章:方法和工具第十二章:附录 在对具体操作人员培训时,我们将详细讲解本部分的相关内容!,122,第十一章:方法和工具,在方法部分,详细阐述和解释了内控体系建设过程中常用的二十种方法。在工具部分,详细描述了十三种工具。,123,方法和工具及附录,第十一章:方法和工具第十二章:附录,124,第十二章:附录,附录部分共包括十四个标准模板。,125,谢谢大家!,
